首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >无来源ip的RDP爆破防御对策小记

无来源ip的RDP爆破防御对策小记

作者头像
xuing
发布于 2020-08-31 04:49:31
发布于 2020-08-31 04:49:31
9.2K10
代码可运行
举报
运行总次数:0
代码可运行

前言

本该是风和日丽的一天,闲得无聊,打开了windows的事件查看器,诶,我不是换了rdp(远程桌面连接)的默认端口了吗,竟然还这么多登录日志,得~ 换端口果然是自欺欺人的事情。被爆破了。再仔细一看事件中竟然没有记录ip。那么,开搞吧。

安全事件日志

安全事件分析

先说下我的环境,Windows Server 2012 R2,除了更换了3389的端口以外,没有做任何安全配置。 其实第一眼,看到日志,我本以为是SMB(445),NETBIOS(135,139)这些服务的锅,因为安全日志的事件ID为4625和4776。 前者的LogonProcessNameNtLmSsp,后者PackageNameMICROSOFT_AUTHENTICATION_PACKAGE_V1_0

通过上面两个关键词,查到许多NtLm攻击相关的文章(后面发现其实和这个没关系...),我就先从SMB安全配置入手(绝招是直接关闭SMB,简单方便,读者可不做下面的操作。但我想探究这次的攻击究竟是怎样的)。

关闭漏洞满天飞的SMBv1

1、检查SMBv1状态的方法: 在Powershell中运行命令: Get-SmbServerConfiguration | Select EnableSMB1Protocol 如果打印“Ture”,则说明SMBv1为开启状态。 2、关闭SMBv1的方法 在power shell中运行命令: Set-SmbServerConfiguration -EnableSMB1Protocol $false

更多参考信息见微软文档

启用SMB签名

又因Freebuf的一篇Windows SMB请求重放攻击分析,我决定再启用SMB签名。

将注册表项"RequireSecuritySignature"设置为 1 可以启用 SMB 签名 可用powershell执行 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" RequireSecureNegotiate -Value 1 –Force


通过策略组配置NTLM相关安全选项

本地组策略->计算机配置->Windows设置->安全设置->安全选项中一些配置进行了修改。 例如:

  1. 网络安全: 限制 NTLM: 审核传入 NTLM 流量 设置为 为所有帐户启用审核
  2. 网络访问: 不允许匿名枚举 SAM 帐户 设置为启用

上述设置,我也不是非常清楚。这里就不展开了。 注意:错误的修改,可能会导致自身无法连接到服务器。 具体可看这篇文章保护内网安全之提高Windows AD安全性

爆破依旧

进行上述的修改后,安全事件日志还是哗啦啦的警告,然后我一查看云服务器的安全组,我根本都没有开放445,139这类的端口。然后我注意到了在应用程序与服务日志中的Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational事件日志。

Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational

将信息级别的日志筛除后,得到了上图的结果。嗐!原来还是RDP爆破啊。并且有来源ip了,来,继续。

RDP爆破防御

RDP爆破方式攻击防控思路梳理

简单有效-策略组限制

通过上图大佬的总结,我优先使用了策略组进行配置,账户锁定策略。这个配置也比较简单。运行打开gpedit.msc,按照下图配置即可。

账户锁定策略

但是配置后,即使等了一段时间后还是有大量的不同ip在进行爆破尝试。让我甚至一度怀疑这里的ip都是通过什么漏洞伪造的。

并且因为使用了云服务商的安全组策略,为避免多余的麻烦,没有开启windows防火墙,所以可能无法成功拦截?所以我只好继续

wail2ban

wail2ban,linux中有个很好用的工具,叫做fail2ban,wail2ban算是它的windows版本,做的事情大致相同,从日志(事件)匹配并提取ip,进行封禁。 Windows Server Wail2ban and Folder Sharing not working together - Error 4625 no IP 使用还是很简单的。

  1. 按照上面的介绍,需要在wail2ban.ps1增加为$EventTypes增加一个事件,即修改为$EventTypes = "Application,Security,System,Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational", $CHECK_COUNT用来控制尝试次数,默认为5.
  2. 然后在wail2ban_config.ini中添加
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
[Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational]
140=RDP Logins
139=RDP Logins With Tls1.0

最后的139事件可不添加。后面会用到。

  1. 开启windows防火墙 注意开启防火墙时,如果不是默认3389的默认端口的话,需要手动添加入站规则。

配置好后的效果如下:

wail2ban

这样一目了然的发现,还真的都是不一样的ip。 (并且似乎开启防火墙后,策略组的配置也生效了)

数据包分析

其实到此为止已经差不多了,但是我想肯定还是服务器有什么地方配置的脆弱了,才会受到此次攻击。我就想看看对方的RDP爆破和我正常的RDP连接有什么区别。 恩,Wireshark安装! 因为用到了TLS层,我后面甚至还做了解密(不做也可以)。具体方式见如何使用Wireshark解密Windows远程桌面(RDP)协议 我的捕获过滤器是 port 端口号,显示过滤器为not ip.addr eq 本机ip

爆破数据包

正常登陆包

可以看到他协议用的是Tlsv1, 而我自身使用的是Tlsv1.2。Tls 1.0也不少问题,那么简单了,赶紧禁用Tls1.0吧。

禁用TLS1.0

  1. 策略组强制使用TLS(不好使) 在策略组 计算机配置 \windows 组件 \ 远程桌面服务桌面会话安全中设置远程 (RDP) 连接要求使用特定的安全层为 TLS1.0。 你可能很疑惑...说好的不用1.0了,怎么你还强制1.0了。这个好像是微软的显示错误T_T,不过经我测试,的确也不好使...情况说明见微软文档
  2. 通过注册表禁用Tls1.0 HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server项中新建一个名为Enabled的DWORD,值设置为0。 为了避免不必要的麻烦,设置好后我进行了重启。

效果

禁用TLS1.0后,再去查看事件,发现已经由原先的140事件,变为了139事件,描述为服务器安全层在协议流中检测到一个错误(0x80090304),并中断了客户端连接(客户端 IP:45.145.64.5)。,攻击方的一次尝试也不能成功了! wail2ban也可以继续开着,并且做一些配置,还可以防御更多的爆破事件。

最后我也照猫画虎的来一次威胁情报IOC,下面的ip是本次攻击事件中出现的。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
193.106.30.234, 185.202.1.110, 113.65.153.144, 222.187.245.198, 202.146.219.27, 47.107.182.101, 43.248.186.80, 112.25.212.219, 111.40.223.9, 113.62.177.19, 185.202.1.105, 118.180.214.5, 37.71.141.162, 193.165.191.59, 45.145.67.173, 185.202.1.106, 185.202.1.113, 45.145.64.5, 185.202.1.103, 185.202.1.111, 106.52.138.52, 185.202.1.107, 193.106.29.82, 60.10.62.235, 121.151.155.170, 45.145.66.157, 185.202.1.148, 219.139.151.18, 223.78.106.25, 183.110.79.147, 58.120.225.117, 60.6.224.242, 185.202.1.109, 185.202.0.117, 117.146.37.90, 176.96.82.182, 220.179.227.205, 118.163.153.6, 60.167.165.166, 89.248.168.221, 58.120.225.122, 112.175.114.17, 218.6.9.84, 61.180.90.12, 223.99.164.133, 185.202.1.100, 185.202.1.96, 111.9.153.42, 60.22.91.240, 106.52.170.87, 185.202.1.104, 113.12.64.58, 36.99.161.37, 211.47.236.220, 185.202.1.102, 175.16.218.50, 180.168.74.70, 87.251.75.176, 222.178.239.184, 124.116.171.30, 142.11.249.99, 195.54.160.99

参考资料

Windows 2016 服务器安全配置和加固 windows 系统简单加固

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
1 条评论
热度
最新
我这边也碰到了相同的情况。但是是发生在纯内网环境。发起端同样是大量的PC,并且查看日志是IPv6的地址(此网络部署的是IPv4的环境)。被攻击端不停地在变更。同样是4625 NtLmSsp进程。很诡异
我这边也碰到了相同的情况。但是是发生在纯内网环境。发起端同样是大量的PC,并且查看日志是IPv6的地址(此网络部署的是IPv4的环境)。被攻击端不停地在变更。同样是4625 NtLmSsp进程。很诡异
回复回复点赞举报
推荐阅读
编辑精选文章
换一批
运维工程师们请记住:封掉这 50 个高危端口,让你的系统稳如泰山!
都说 Linux 是世界上最安全的操作系统,与 Windows 等闭源操作系统相比,Linux 在安全性方面具有一些独特优势。然而,这并不意味着 Linux 是绝对无懈可击的。任何操作系统都可能存在安全漏洞,关键在于如何及时应对和修复。
民工哥
2024/10/21
1.1K0
运维工程师们请记住:封掉这 50 个高危端口,让你的系统稳如泰山!
​Windows SMB高危漏洞再度来袭,安恒信息提供免费检测工具包
Windows系统安全更新 2017年10月10日,微软发布了2017年10月安全更新公告,修补了多个高危漏洞,根据公告描述,受影响的系统从Windows Server 2008到Windows 10全部包含: Windows 10 1703 Windows 10 1607 Windows Server 2016 Windows 10 1511 Windows 10 RTM Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Wi
安恒信息
2018/04/10
1.9K0
​Windows SMB高危漏洞再度来袭,安恒信息提供免费检测工具包
红日靶场(一)vulnstack1 渗透分析
访问80端口是一个phpStudy 探针,结合phpinfo.php和探针知晓主目录在C:/phpStudy/WWW
用户10714950
2023/08/21
9600
红日靶场(一)vulnstack1 渗透分析
Dumping LSASS With No Mimikatz
Mimikatz是渗透测试中常用的知名工具,它主要用于从Windows上的内存中转储凭据,作为渗透测试人员此方法对于Windows Active Directory环境中的横向和纵向权限提升非常宝贵,并且几乎用于所有内网渗透测试,由于其受欢迎程度,Mimikatz可执行文件和PowerShell脚本已被大多数防病毒(AV)解决方案检测到,这篇文章将介绍几种替代方法来实现相同的目标而无需修改Mimikatz来躲避AV的查杀,以及一些预防和检测这种攻击的方法
Al1ex
2022/09/07
1.1K0
Dumping LSASS With No Mimikatz
Nmap多年积累实操经验分享
下载.jpg 全量端口基础方案简单梳理 21 FTP弱密码 22 SSH弱密码 23 telnet弱密码 25 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑 53 DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控 69 尝试下载目标及其的各类重要配置文件 80 IIS6 RCE 80-89 应用服务器端口 110 POP3 可尝试爆破,嗅探 111 NFS 权限配置不当 137 SMB 143 IMAP 爆破 1
枪哥四海为家
2022/03/09
6K4
Nmap多年积累实操经验分享
重磅 | 安恒信息“永恒之蓝”勒索病毒安全事件报告
1.背景 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿会耗
安恒信息
2018/04/11
2K0
重磅 | 安恒信息“永恒之蓝”勒索病毒安全事件报告
影响所有Windows版本远程桌面(RDP)应用的CredSSP漏洞分析
在3月13号的微软补丁日中,由Preempt团队发现的Windows凭据安全支持提供协议(CredSSP)高危漏洞CVE-2018-0886被修复,该漏洞为逻辑远程代码执行(RCE)漏洞,几乎所有版本
FB客服
2018/04/17
3.2K0
影响所有Windows版本远程桌面(RDP)应用的CredSSP漏洞分析
GandCrab勒索病毒预警通告
GandCrab病毒家族具有快速更新的特点,从今年9月份V5版本面世以来,出现了包括了5.0、5.0.2、5.0.3、5.0.4以及最新的5.0.5多个版本的变种。国内多个行业客户受到了GandCrab家族的攻击,请相关用户关注,及时做好防护措施。
绿盟科技安全情报
2019/10/24
7460
GandCrab勒索病毒预警通告
从RDP爆破定位内部攻击者
一台没有发布任何服务到公网的服务器,却有大量的账户登录失败记录,咋一看实在有点让人费解。我们需要做的就是,从繁杂的现象中,拔丝抽茧找到有价值的信息,进一步定位攻击来源,从根源上解决攻击问题。
Bypass
2021/04/12
2.2K0
实战 | 记一次蠕虫病毒内网传播的应急响应
在整理资料时翻到了当时一些应急处置的情况再次复盘学习一下,因有了此文,在2020年11月27号某新闻中心称中心电脑全部被创建新用户密码锁定无法正常使用计算机,要求相关技术人员到现场进行应急处置。
HACK学习
2022/01/05
5.4K1
实战 | 记一次蠕虫病毒内网传播的应急响应
横向渗透之 [RDP]
也可以通过reg配置文件的方式启动:regedit /s startrdp.reg
重生信息安全
2020/03/06
2.6K0
域渗透-横向移动命令总结
Certutil是Windows自带的命令行工具,用于管理Windows证书并作为证书服务的一部分安装。Certutil提供了从网络中下载文件的功能,测试人员可以在远程主机上执行Certutil命令,控制其下载预先部署在可控服务器上的恶意文件,如攻击载荷等。
亿人安全
2022/12/23
2.5K0
域渗透-横向移动命令总结
细数那些在2017年被黑客滥用的系统管理工具和协议
“用指尖改变世界” 系统管理工具和合法协议原本是为了给系统管理员、信息安全专业人员、开发人员和程序员的日常工作提供灵活性和高效性而设计的。然而,当被黑客、网络犯罪分子和其他恶意行为者使用时,它们可以使恶意软件融入正常的网络流量,规避传统的安全机制,同时留下很少的痕迹。 从2017年发生一些安全事件来看,系统管理工具和合法协议的意外暴露或者处于其他不安全状态,都可能带来大家昂贵的后果。 以下是我们为大家带来的一些在2017年发生的安全事件中被普遍滥用的工具和协议,以及与之相对应的预防措施: PowerSh
企鹅号小编
2018/01/22
1.7K0
细数那些在2017年被黑客滥用的系统管理工具和协议
Windows日志取证
Windows常见安全事件日志ID汇总 适用于:Windows Server 2016
全栈工程师修炼指南
2020/10/23
4.2K0
内网漏洞探测扫描 - 信息搜集篇 - 渗透红队笔记
当我们拿到了一台网络边界的时候,我们发现内网里还有很多台设备,比如邮件服务器,数据库服务器等等,我们可以通过网络边界做跳板对内网进行深层次的漏洞扫描。
渗透攻击红队
2020/11/25
4.7K0
内网漏洞探测扫描 - 信息搜集篇 - 渗透红队笔记
浅析如何让你的Responder更强大之修复篇
渗透圈内,Responder声名远扬。去年在使用中发现了一些异常,脑子抽筋,读了smb协议和Responder源码,进而发现了Responder在实现上存在的一些问题,然后进行了修复和完善,趁着这几天有时间,进行了简单整理和分析,分享出来,希望对大家有所帮助。
FB客服
2020/02/12
1.6K0
浅析如何让你的Responder更强大之修复篇
红队攻击-对RDP常规操作
rdp服务是我们常用的服务,可以不是3389端口,可以改成任意端口,时候为了利用它,必须先找出来服务端口,毕竟管理员也鸡贼。
Gamma实验室
2021/05/18
2.1K0
红队攻击-对RDP常规操作
域渗透-横向移动手法总结
在内网渗透中,域内横向移动是一种常见的攻击手法。攻击者会利用此技术,以被攻陷的系统为跳板,访问域内其他主机,扩大资产(包括跳板机中的文档和存储的凭证,以及通过跳板机连接的数据库,域控制器等其他重要资产)。通过此类攻击技术,攻击者最终很可能获取到域控制器的访问权限,甚至控制整个内网的机器权限。
亿人安全
2025/06/30
1190
域渗透-横向移动手法总结
内网渗透的步骤_内网渗透思路
内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。
全栈程序员站长
2022/10/05
5.2K0
内网渗透的步骤_内网渗透思路
服务器后台防护:有效策略防止爆破攻击
服务器后台作为关键的管理入口,是黑客攻击的主要目标之一。爆破攻击(Brute Force Attack),尤其是针对SSH、FTP和Web应用后台的登录尝试,对服务器安全构成严重威胁。本文将介绍一系列实用且易于实施的策略,帮助您加强服务器后台的防护,抵御爆破攻击。
群联云安全小杜
2024/06/12
8990
服务器后台防护:有效策略防止爆破攻击
相关推荐
运维工程师们请记住:封掉这 50 个高危端口,让你的系统稳如泰山!
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档